Linux в домене Active Directory

[AnViar]

Но сегодня мы пойдём иным путём

В статье не дан ответ зачем это делать

[Slipeer]

В статье не дан ответ зачем это делать

А надо? Разве наличие двух путей к одной цели это плохо?
Если речь идёт о преимуществах данного решения, то, навскидку, я отнесу к ним:

1. Хорошую повторяемость (сравните последовательность действий этой статье с инструкцией по настройке winbind)
2. Кэширование данных из каталога (доменный пользователь может войти на ПК, когда домен не доступен, если его учётные данные в кэше)
3. Для PBIS не требуется формирование в каталоге AD дополнительных атрибутов пользователя
4. PBIS понимает сайты AD и работает с контроллерами своего сайта.
5. Большую безопасность (samba создаёт учётку компьютера с не истекающим паролем)
6. В платной версии (если возникнет такая необходимость) PBIS агент управляем через GPO (хотя это можно и вычеркнуть)

[AnViar]

Четвёртый пункт большой плюс. В Solaris 11.1 это работает из коробки, а в Samba только вялые упоминания о планах в мэйлистах.

[m0ps]

Собственно сабжевый продукт и есть причесанным винбиндом, керберосом и т.д
Преимущества описаны, а вот что касается минусов?.. Насколько я помню — необходимо вводить логин с доменом — это доставляет огромное неудобство для конечных пользователей (не админов).

[Slipeer]

сабжевый продукт и есть причесанным винбиндом

Я бы сказал — «альтернативной реализацией» winbind.

Насколько я помню — необходимо вводить логин с доменом

Никак нет. есть настройка (включена по-умолчанию) позволяющая автоматически подставлять префикс к имени пользователя при входе:

# /opt/pbis/bin/config --details AssumeDefaultDomain
Name: AssumeDefaultDomain
Description: Apply domain name prefix to account name at logon
Type: boolean
Current Value: true
Accepted Values: true, false
Current Value is determined by local policy.
# /opt/pbis/bin/config --details UserDomainPrefix
Name: UserDomainPrefix
Description: Domain short name prefix to be used when AssumeDefaultDomain setting is enabled
Type: string
Current Value: "CONTOSO"
Current Value is determined by local policy.

[m0ps]

Видимо после поглощения Likewise BeyondTrust-ом что-то поменялось, раньше ввод логина в виде domain\user был ограничением Open версии.
Что касается альтернативной реализации winbind — опять же незнаю что сейчас, но раньше Likewise использовал обыкновенную самбу с ее винбиндом и своими надстройками и патчами к ним.
Собственно приятно слышать что продукт развивается и становится все дружественнее к свом пользователям.

[Slipeer]

И там тоже оно. Домен пользователей по-умолчанию можно задать при вводе ПК в домен через GUI, но можно и изменить в любой момент в настройках.

[dude_sam]

Спасибо за статью.
После установки likewise на ubuntu и настройки по вашему туториалу я смогу на линукс машине создавать шары с доменными правами, как в обычной windows, т.е. определенной группе или просто списку пользователей давать права на запись и изменение, а остальным только чтение (а то на работе есть AD, а файлопомойка на linux с поднятой самба и кто-то регулярно пакостит, удаляя все).

[mrpsycho]

а еще likewise + acl + git: удобный простой гит сервер, с поддержкой групп АД.

[VFedorV]

Значение параметра устанавливается например так:
/opt/pbis/bin/config RequireMembershipOf «Администраторы^Linux»

у меня так не срабатывало, пока не проставил так:

opt/pbis/bin/config RequireMembershipOf "DOMAIN\\Администраторы^Linux"

[VFedorV]

а может кто подскажет — как разрешить всей группе, указанной ранее (из AD которая) выполнять команды sudo ?! какой формат записи в visudo?
% DOMAIN\\Администраторы^Linux ALL=(ALL) NOPASSWD: ALL — не прокатывает :(

[Slipeer]

• Без пробела между % и названием группы
• Скорее всего проблема с разделителем домена/группы
• Проверьте, что у вас в опции AssumeDefaultDomain — у меня везде true и работает без указания домена

[VFedorV]

благодарю! дело, действительно, было в формате написания — теперь работает :)